Microsoft reclasificó a “critica” la severidad máxima de una vulnerabilidad en SPNEGO que parchó originalmente en septiembre pasado tras el hallazgo de que puede explotarse para lograr la ejecución remota de código.
Rastreada como CVE-2022-37958, con un puntaje CVSS: 8.1, la falla NEGOEX se describió en su momento como una vulnerabilidad de divulgación de información en el mecanismo de seguridad de negociación GSSAPI simple y protegido (SPNEGO).
SPNEGO es un esquema que permite que un cliente y un servidor remoto lleguen a un consenso sobre la elección del protocolo que se utilizará —por ejemplo, Kerberos o NTLM— para la autenticación.
En su aviso actualizado, Microsoft advirtió que la explotación exitosa de esta vulnerabilidad depende de condiciones fuera del control del atacante.
“Un ataque exitoso no se puede lograr a voluntad, sino que requiere que el atacante invierta una cantidad medible de esfuerzo en la preparación o ejecución contra el componente vulnerable”, explicó.
Entre los requerimientos mencionó la recopilación conocimientos sobre el entorno en el que existe el objetivo/componente vulnerable, la preparación del entorno de destino para mejorar la confiabilidad de la explotación o la inyección en la ruta de red lógica entre el objetivo y el recurso solicitado por la víctima para leer y/o modificar las comunicaciones de red.
Microsoft Security rastrea 35 familias de ransomware y 250 atacantes de Estado nación
Análisis de IBM llevó a Microsoft a reclasificar
Un análisis más detallado de la falla por parte de la investigadora de X-Force Red de IBM, Valentina Palmiotti, descubrió que podría permitir la ejecución remota de código arbitrario, lo que llevó a Microsoft a reclasificar su gravedad.
Demonstrating CVE-2022-37958 RCE Vuln. Reachable via any Windows application protocol that authenticates. Yes, that means RDP, SMB and many more. Please patch this one, it's serious! https://t.co/ikOrTvQIJs pic.twitter.com/bOTmL5Fh2H
— chompie (@chompie1337) December 13, 2022
En una publicación de Security Intelligence, el socio asociado de Servicios de simulación adversaria de X-Force, Chris Thompson, dijo que “es una vulnerabilidad de ejecución remota de código previa a la autenticación que afecta a una amplia gama de protocolos. Tiene el potencial de ser gusano”.
Especialmente, la deficiencia podría permitir la ejecución remota de código a través de cualquier protocolo de aplicación de Windows que autentique, incluidos HTTP, SMB y RDP.
Dada la criticidad del problema, Thompson dijo que IBM retendrá los detalles técnicos hasta el segundo trimestre de 2023 para dar a las organizaciones tiempo suficiente para aplicar las correcciones.
“A diferencia de la vulnerabilidad (CVE-2017-0144) explotada por EternalBlue y utilizada en los ataques de ransomware WannaCry, que solo afectó al protocolo SMB, esta vulnerabilidad tiene un alcance más amplio y podría afectar potencialmente a una gama más amplia de sistemas Windows debido a un ataque mayor. superficie de los servicios expuestos a la Internet pública (HTTP, RDP, SMB) o en redes internas”, señaló Thompson.
